4 år med GDPR – ”Vi er endnu ikke lykkedes med at få aflivet begrebet Personfølsomme oplysninger”

I dag er det præcis 4 år siden, at databeskyttelsesforordningen (GDPR) trådte i kraft i hele EU, og som fagperson er der visse begreber og begrebsanvendelser, som kan få en ellers meget tilforladelig advokat til at fare op i det røde GDPR-felt. Her tænker vi særligt på begrebet ”personfølsomme oplysninger”, som er et meget almindeligt anvendt udtryk i den brede befolkning, men som blander begreberne på en måde, der skaber mere forvirring end klarhed. Desværre bevidner den fortsatte brede anvendelse af begrebet også om, at til trods for, at der i dag kan fejres 4 års fødselsdag for ikrafttrædelsen af GDPR, så har vi langt fra fået databeskyttelsesreglerne på rygraden endnu.

Når vi vælger at flage problematikken over anvendelsen af et simpelt begreb som ”personfølsomme oplysninger”, er det fordi, det vidner om, at man ikke skelner mellem behandling af almindelige personoplysninger som f.eks. kontaktoplysninger, følsomme personoplysninger og personoplysninger af særlig karakter. Det er ellers en sondring, som er særdeles vigtig, da der er forskellige krav til den dataansvarlige ift. behandlingshjemmel og implementering af fornødne sikkerhedsforanstaltninger alt efter hvilken kategori, personoplysningen tilhører.

Vi hører stadig mange virksomheder, som undskylder sig med, at når de ikke behandler CPR-numre, så gælder databeskyttelsesreglerne ikke for dem. Dette er en udpræget misforståelse. Databeskyttelsesreglerne gælder for enhver behandling af personhenførbare oplysninger, og når personoplysningerne får karakter af at være enten følsomme eller af særlig karakter, så skærpes kravene til behandlingen.

Vi kunne i denne artikel vælge at gennemgå de grundlæggende begreber samt principper for behandlingen af personoplysninger, men vi har i stedet valgt at give et mere konkret indblik i de tendenser og problemstillinger, vi bliver mødt af, når vi rådgiver vores klienter indenfor databeskyttelsesreglerne, for selvom databeskyttelsesreglerne trådte i kraft for 4 år siden, er der fortsat et stort arbejde med at efterleve reglerne, og arbejdet er langt fra slut.

Så hvis du er nysgerrig på, hvad det er, vi hjælper vores klienter med inden for databeskyttelsesområdet, så læs videre her.

Implementering af forretningsgange til efterlevelse af databeskyttelsesreglerne

Vi oplever desværre, at mange virksomheder endnu ikke har implementeret de fornødne forretningsgange til at efterleve databeskyttelsesreglerne og derfor ender i en situation, hvor implementeringen skal gå meget stærkt enten pga. varslet tilsyn eller en hændelse i virksomheden, hvorfor hverken ledelse eller medarbejdere har ejerskab eller overblik over implementeringsprocessen. Det er et problem, fordi efterlevelse af databeskyttelsesreglerne ikke blot er en engangsimplementering, men en løbende proces, og de krav, som virksomheden har beskrevet i sine databeskyttelsespolitikker og procedurer, skal til hver en tid efterleves i praksis, herunder er der et krav til løbende ajourføring af dokumentation og revurdering af sin risikovurdering. Endeligt er det et krav, at virksomheden som dataansvarlig kan dokumentere, at procedurerne overholdes, samt at medarbejderne er givet tilstrækkelig uddannelse og instruks i, hvordan de skal behandle personoplysninger i virksomheden.

Det er vores anbefaling, at virksomheden som minimum laver en gennemgang af sin dokumentation, procedurer og risikovurdering én gang årligt. For nogle virksomheder kan mængden eller arten af personoplysninger dog betyde, at gennemgangen bør foretages oftere.  

Brud på persondatasikkerheden

Den seneste årsberetning fra Datatilsynet viser, at der fortsat sker mange brud på persondatasikkerheden. I 2021 var der 8.554 registrerede brud på persondatasikkerheden, hvorfor der fortsat er behov for at have styr på sine procedurer ved brud på persondatasikkerheden.

Anmeldelserne kommer både fra private og offentlige dataansvarlige, og tallene viser, at de grupper af dataansvarlige, der har meget ekstern kontakt med de registrerede (kunder/borgere), er dem, der registrerer flest brud.

Langt størstedelen af registreringerne vedrører forhold, hvor virksomhederne sender personoplysninger på en sikker måde f.eks. via e-Boks, krypteret mail eller på en lukket kundeportal, men kommer til at fremsende dem til en forkert modtager.

Hos mange virksomheder er det en almindelig forekommende hændelse, der sker på daglig basis, hvorfor mange er bekendt med den slags hændelser, mens ikke alle er bevidste om, at der er tale om et brud på persondatasikkerheden.

Det er ikke alle typer af brud, der skal anmeldes til Datatilsynet. Vurderer den dataansvarlige, at bruddet ikke skal anmeldes til Datatilsynet, er det dog stadig vigtigt at sikre, at bruddet bliver registreret i den dataansvarliges interne log/opgørelse over brud på persondatasikkerheden.

Det, vi typisk ser, når vi rådgiver vores klienter, er, at de ikke ved, hvornår der er tale om et brud på persondatasikkerheden, og derfor også har vanskeligt ved at vurdere, hvorvidt en hændelse skal anmeldes til Datatilsynet.

Det er vores anbefaling, at virksomhederne får gennemgået deres procedure for håndtering af brud på persondatasikkerheden, herunder om det klart er defineret over for medarbejderne, hvornår der kan være tale om et brud. Derudover bør virksomhederne undersøge, om der er foretaget en tilstrækkelig risikovurdering af virksomhedens sikkerhedsforanstaltninger, samt om den interne registrering af hændelserne giver anledning til at ændre på sådanne sikkerhedsforanstaltninger. Virksomhederne bør være endnu mere opmærksomme på brud, efter Center for Cybersikkerhed har hævet trusselsniveauet i Danmark fra lav til middel i maj 2022.

Anvendelse af personoplysninger i testmiljøer (IT-systemer)

Vi rådgiver også virksomheder med det juridiske arbejde i forbindelse med implementering af nye IT-systemer, herunder udarbejdelse af nødvendige konsekvensanalyser (DPIA) og risikovurderinger. Et af de spørgsmål, der ofte går igen, er, hvorvidt virksomheden må anvende ”rigtige data” (produktionsdata), der indeholder personoplysninger, i den fase af implementeringen, hvor der foretages test af IT-systemet (testmiljø).

Det klare udgangspunkt er, at virksomheden alene må behandle personoplysninger til nødvendige formål. Datatilsynet anerkender dog, at der kan være velbegrundede situationer, hvor anvendelsen af personoplysninger er en nødvendighed i testøjemed. Dette vil fx være i forbindelse med integrationer til andre it-systemer og situationer, hvor der ikke kan anvendes testdata, fordi det ikke giver et retvisende billede af driften, og derfor bliver det nærmest umuligt at identificere fejl.

Når virksomheden anvender produktionsdata med personoplysninger frem for testdata, er det vigtigt, at de grundlæggende behandlingsprincipper overholdes, herunder:

  1. At der foreligger det fornødne behandlingsgrundlag til behandling af personoplysningerne, når de anvendes i testmiljøer,
  2. At der alene anvendes de nødvendige personoplysninger til test og udvikling (dataminimering),
  3. At virksomhedens slettepolitik efterleves i forbindelse med gennemførelse af IT-projektet, så de anvendte personoplysninger i testmiljøet bliver slettet straks, efter testfasen er overstået, og
  4. Der skal være etableret passende tekniske og organisatoriske sikkerhedsforanstaltninger i testmiljøet.

Det er vores anbefaling, at virksomheden altid tager sin databeskyttelsesansvarlige med fra start i et nyt IT-projekt, da et IT-projekt sjældent kan gennemføres uden stillingtagen til en række databeskyttelsesretlige problemstillinger.  

Schrems II-dommen og tredjelandsoverførsler

Indtil 16. juli 2020 fandtes der en særlig ordning til overførsel af personoplysninger til USA, kaldet Privacy Shield. Privacy Shield blev anvendt af mange danske virksomheder, da mange virksomheder i forbindelse med den sædvanlige virksomhedsdrift overfører personoplysninger til USA. Privacy Shield-ordningen blev til stor ulempe for mange erklæret ugyldig i den såkaldte Schrems II dom, hvorefter USA igen er ligestillet med de øvrige usikre tredjelande.

Vi oplever derfor, at mange virksomheder derfor har haft og fortsat har udfordring med at finde ud af, hvad de nu skal anvende som garanti til overførsel af personoplysninger til USA. Det er et databeskyttelsesretligt krav, at der skal anvendes en garanti, hvis man som virksomhed skal sende personoplysninger ud af EU og lave en såkaldt ”tredjelandsoverførsel”. Enkelte lande er dog sikre tredjelande, som fx Schweiz og Storbritannien, hvor overførsel af personoplysninger kan ske på samme vis, som hvis de blev overført til et andet EU-land.

Garantiens formål er at sikre, at beskyttelsesniveauet, som opstilles af GDPR, opretholdes, selvom personoplysningerne sendes ud af EU.

Databeskyttelsesforordningen oplister en række forskellige garantier, hvor mindst en skal anvendes ved tredjelandsoverførsler. Den mest anvendte garanti er fortsat standardkontraktsbestemmelserne, hvor virksomheden og modtageren fra tredjelandet anvender og udfylder Europa-Kommissionens standardkontraktbestemmelser om databeskyttelse.

Flere brancheorganisationer arbejder på at få udarbejdet et adfærdskodeks, der efter godkendelse fra Datatilsynet også kan anvendes som garanti for en tredjelandsoverførsel for dem, der har tilsluttet sig kodekset. Indtil videre er det dog kun Kirkeministeriet og Landsforeningen af Menighedsråd, der har fået godkendt et adfærdskodeks i Danmark.

Det er en udbredt misforståelse, at samtykket er en garanti, der lovligt kan anvendes generelt. Samtykket kan anvendes som en garanti, men alene i tilfælde hvor det ikke er muligt at etablere en af de andre garantier og alene til enkeltstående tredjelandsoverførsler. Samtykket er således en undtagelse, der ikke kan anvendes til gentagne tredjelandsoverførsler, og det kan heller ikke anvendes til tredjelandsoverførsler af personoplysningerne på mange personer.

Det er vores anbefaling, at virksomhederne er særligt opmærksomme, når der sendes personoplysninger ud af EU, og i den forbindelse altid identificerer den garanti, som virksomheden anvender ved overførslen.

Vi vil i løbet af den kommende tid sætte særligt fokus på tredjelandsoverførsler, herunder hvornår der kan være tale om utilsigtede overførsler og samspillet med datababehandleraftalen.

Hos Kielberg Advokater har vi et stærkt complianceteam, som bl.a. kan hjælpe med spørgsmål inden for databeskyttelsesreglerne. Vi kan bl.a. hjælpe med at få overblik over behandlingssikkerhed og dokumentationskrav i jeres virksomhed. Kontakt os for en uforpligtende dialog om jeres behov.

 

Marie-Louise Uglebjerg Hansen
Helene
Helene Thestrup Christiansen